基于风险导向的信息安全审计方法运用

文 / 柳州银行内审部总经理助理  何晔华

近年来，信息科技的迅速发展极大推动了城商行的信息化水平，城商行依靠信息科技不断提升自身的产品创新能力和客户服务质量，提出由“产品为中心”向以“客户为中心”的转变，不断加快新业务产品的研发，提升客户服务满意度，从而增强市场竞争力。与此同时，银行信息系统的功能日趋繁杂，面临的信息安全风险也日益增加，银行卡盗刷、客户信息数据外泄等新闻屡见不鲜，因信息安全所导致的业务中断和客户信息泄露、客户资金损失等问题给银行带来社会负面影响，信息安全风险越发引起监管机构和银行高管、科技部门的高度重视。

审计评价方法

随着银行信息化程度的提高，传统的管理模式和审计手段均难以应对新的信息安全风险，审计部门亟需研究一套针对信息安全风险的审计评价体系，以便对信息安全方面存在的风险隐患进行识别、监督，督促科技部门填补漏洞，促进城商行业务安全发展。

为客观、权威地构建审计评价体系，本文采用国家标准化管理委员会最新发布的《GBT 22239-2019 信息安全技术 网络安全等级保护基本要求》和《JR/T 0071-2012 金融行业信息系统信息安全等级保护实施指引》为主要依据，结合城商行的现阶段主要特点，对全套评价要求进行适当裁剪，作为开展审计工作的主要评价点。

1. 审计对象的选择

信息安全审计需针对具体的审计对象，例如银行的网银系统服务器、手机银行系统的APP客户端、ATM系统的机具设备等，选择具体的审计对象是编制审计实施方案的必要步骤，选择适当审计对象的种类和数量是整个信息安全审计工作有效开展的重要前提，以便能够获取充分证据、了解审计对象的真实安全状况。在确定审计对象时，除了考虑信息资产的重要程度以外，还应遵循以下原则 ：一是适当性，选择的设备、软件等应满足开展信息安全审计工作的主要目标 ；二是重要性，应选择审计对象的重要服务器、数据库和网络设备等 ；三是安全性，抽查应用系统对互联网暴露的边界 ；四是共享性，抽查共享数据平台及其相关设备。

2. 审计对象的风险评估和分级

参照等级保护的要求，针对不同的信息系统，应采用不同程度的标准去衡量和开展审计。简而言之，对于企业内部使用的OA系统（低风险），和对于面向公众服务的网上银行系统（高风险），当然是后者应该要求更苛刻更严格，因为其服务范围广，涉及客户的资金安全，发生问题后影响更为恶劣。具体风险评估和分级方法如下，再根据表1所示矩阵确定业务系统的风险等级。

表1  业务系统风险等级矩阵表 

（1）评估该业务系统出现故障时，受到侵害的客体，主要分为 ：公民、法人和其他组织的合法权益；社会秩序、公共利益 ；国家安全。

（2）评估该业务系统出现故障时，客体受到的侵害程度，具体的判断依据如下。

一般损害 ：工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出现较轻微的法律问题，较低的财产损失，有限的社会不良影响，对其他组织或个人造成较低损害等。

严重损害 ：工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出现严重的法律问题，较高的财产损失，较大范围的社会不良影响，对其它组织或个人造成较高损害等。

特别严重损害 ：工作职能受到特别严重影响或丧失，业务能力严重下降且功能无法执行，出现极其严重的法律问题，极高的财产损失，大范围的社会不良影响，对其他组织或个人造成极其严重的损害等。

3. 审计要点及评价方法

银行业务系统的信息安全审计，主要涉及物理安全、网络安全、主机安全等10个领域。各个领域分别设定一定数量的审计项，各审计项设定若干数量权重相等的审计要点，根据审计检查结果进行评价，每个审计要点的评价结论包括完全符合（5分）、基本符合（3分）、不符合（0分）、不适用，则该审计项的总体分值为：

P=100×∑（各审计要点得分）/5/有效审计要点个数

以主机安全当中的“身份鉴别”审计项为例，其审计过程及结论如表2所示，则“身份鉴别”审计项的评分为100×（5+5+0+3+5+3）/5/6=70分。

表2  “身份鉴别”审计项示例

4. 审计方法

现场审计的主要方法包括现场访谈、现场观察、查阅文件、手工检查、安全扫描、渗透测试等，具体如下。

（1）现场访谈。审计人员向相关方了解信息安全体系的建立、执行情况。现场访谈是收集信息的一个重要手段，在条件许可时，需对所有涉及的相关负责人进行访谈。

（2）现场观察。审计人员通过观看操作过程录像，观察有关人员的实际工作情况，以确定其规定的控制措施是否得到严格执行。

（3）查阅文件。查阅银行信息安全体系的相关文件，信息安全体系文件是有效运行的基础，在信息安全体系的运行中发挥着重要作用。作用包括可以提供适宜的培训、实现重复性和追溯性、提供客观证据等，文件类型包括安全策略、管理制度、操作手册等。

（4）手工检查。利用安全工具对主机、网络设备等进行漏洞扫描，确认是否划分VLAN 和不同的网段，确保最小授权、内外网是否进行必要隔离，路由器、交换机等网络设备的配置是否最优等。

（5）安全扫描。通过评估工具对系统和网络进行安全扫描，涉及如下三个层面的安全问题。一是系统安全，涉及UNIX、Linux 、Windows等操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞、安全配置等 ；二是网络安全，包括身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等 ；三是应用安全，包括数据库软件、Web 服务、电子邮件系统、域名系统、交换与路由系统、防火墙等。

（6）渗透测试。审计人员尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/主机/系统/应用的安全性做深入的探测，发现系统最脆弱的环节，获取直接测试证据。

5. 评价标准

分别得出10个领域的评分结果后，运用算数平均值得出本次信息安全审计工作的总体评价结果R，还需要对评分结果进行定性评价，设定如下评价依据。

优 ：R≥90分 ：系统存在安全问题，但不会引发中、高危安全风险。

良 ：80分≤R<90分，系统存在安全问题，但不会引发高危安全风险。< p="">

中 ：70分≤R<80分，系统存在安全问题，且可能引发高危安全风险。< p="">

差 ：R<70分，系统存在安全问题，且极有可能引发高危安全风险。< p="">

运用与实践

基于以上评价方法论，以某城商行XX业务系统为例，阐述如何通过开展信息安全审计，促进科技部门填补漏洞，提升系统安全性，促进相关业务统筹安全发展。

1. 选择审计对象

确定XX业务系统为本次审计的主要对象后，开始梳理与该系统相关的主要硬件、软件、文档、制度、人员等相关要素。

2. 风险评估和分级

根据前述评估方法，判断XX业务系统主要面向社会公众服务，其发生故障后，一是导致本企业的XX业务不能正常提供服务，对本企业产生严重损害 ；二是对社会秩序和公共利益产生一般损害，且尚未上升到国家安全的层面，通过前述矩阵的对比，结合就高不就低的原则，确定该业务系统的风险等级为中风险，判断过程如表3所示。

表3  XX业务系统风险等级矩阵表

3. 确定审计要点、开展现场检查

参照等级保护测评相关要求，梳理出本次审计工作适用于中风险等级的审计要点，分工开展现场检查工作，以物理安全为例，审计过程和结果如表4所示。

表4  XX业务系统物理安全审计过程

同理，经过检查取证之后，分别计算出10个领域的单项得分，分别为网络安全91，主机安全89.41，应用安全95.14……此外，审计人员还需记录下各审计要点部分符合、不符合的内容及其存在的问题，收集好相关审计证据，汇总后为审计报告提供依据。

4. 审计结论

根据前述现场审计结果，最后评价汇总结果如下 ：R=94.87分，评价结果为 ：优。对于各领域存在问题的严重程度，可通过雷达图进行直观展现（如图所示），蓝色区域越靠近中心位置，说明该领域存在的问题相对越多。例如本次审计结果表明，该业务系统在管理制度方面需提升和完善，主机安全和网络安全方面需调整策略，技术上需进行加固和修复缺陷及漏洞。

图  XX系统信息安全审计评分雷达图

5. 审计结果与成效

本次审计在改善该行XX业务系统信息安全管理、加强内部控制方面取得了一定的成效，一定程度上为互联网线上业务的开展提供了信息安全保障。

首先，促进管理层重视信息安全建设。习近平总书记指出，要树立正确的网络安全观，加强信息基础设施网络安全防护，加强网络安全信息统筹机制、手段、平台建设，做到关口前移，防患于未然。通过审计提出信息安全管理方面存在的问题，提出改进建议，促进管理层进一步提升安全意识，认清当前的外部信息安全形势和行内信息安全存在的问题，重视信息安全工作，为今后安全建设争取到了决策层的支持。

其次，督促全行提升信息安全管理水平。通过问题的提出，督促科技部门查找差距，加强信息安全管理体系建设，从人防、物防、技防等方面保障行内业务系统的信息安全。为后续实施办公计算机软件正版化、信息安全加固、规范互联网接入使用等工作奠定基础，保障生产系统安全稳定运行，为全行的业务发展提供强有力的保障。

第三，促进内控建设，完善制度流程。科技部门在接到正式审计报告之后，相继完善了存在问题或执行不到位的制度和流程，包括信息安全原则、安全机构、安全策略等，并针对安全管理活动的各类内容建立了相关的管理制度，制定了管理人员或操作人员执行的日常管理操作规程，并重申“必需知道”和“最小授权”两大原则，形成由安全策略、管理制度、操作规程等构成的信息安全管理内控体系。

第四，为互联网业务的拓展提供了更为安全可靠的信息化环境。随着信息安全水平的不断提升，近年来该行逐步启动电子银行业务向数字化银行业务转型的步伐，线上业务产品不断丰富，例如 ：推出线上储蓄产品、线上贷款产品、微信小程序等，迎合用户金融服务使用习惯，同时增强了线上获客能力和吸收存款能力。2021年该行手机银行APP累计用户已突破百万，年支付业务量近千亿元。

第五，为信息安全审计工作提供可复用的评价标准。信息安全审计的主要目标包括信息的机密性、完整性、可用性、不可抵赖性等。该评价体系通过定量和定性的结合，为审计部门建立了一套相对完善的评价标准，适用于信息安全领域的合规性审计、日志审计、网络行为审计、应用系统审计等。评价标准的制定，在一定程度上规避了因审计人员知识和技能的差异导致的审计风险。此外，审计标准的透明化让被审计单位能够充分知晓和接受，提升了审计部门的权威性。

启示与总结

习近平总书记强调，网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。尤其是金融、能源、通信等领域，其关键信息基础设施是经济社会运行的神经中枢，必须要处理好安全和发展的关系，做到协调一致、齐头并进。银行系统的信息安全有保障，是业务发展，尤其是互联网线上业务发展的重要前提，信息安全的威胁主要来自于互联网、外部合作机构、内部人员以及灾难事件等。内部审计部门的重要使命，就是要为组织实现目标保驾护航，我们还需要从以下方面进行努力 ：一是内部审计部门需加强信息安全专业审计人员的培养，积极引导审计人员参加相关认证、证书的学习和获取，掌握专业的网络安全评估和评测技术 ；二是内部审计部门需不断改进信息安全审计技术手段，进一步掌握专业工具、自动化工具、社会工程学、渗透测试等新的审计方法手段 ；三是内部审计部门应推行标准化底稿的编制和运用，形成“流水线”模式的审计工作，使新人同样能够快速上手，提高审计效率，规避人为因素，降低审计风险。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。